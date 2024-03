Doposud jsme v rámci seriálu Regulace podle NIS2 zaměřovali pozornost na ty, jichž se v dohledné době začnou nová pravidla kybernetické bezpečnosti týkat, na regulované subjekty. Vysvětlili jsme, jaké postupy si podniky budou muset osvojit, že je potřeba začít analýzou aktiv, zvážit rizika jejich ohrožení a začít přijímat postupy, jak tato rizika umenšit.

Výhodu přitom mají firmy, které už v nějaké podobě kyberbezpečnost řeší nyní a nebudou začínat od nuly. A jak ukázal příklad státního podniku zaměřeného na opravu vojenských vrtulníků, náskok získají i korporace, na které se sice doposud regulace tohoto druhu nevztahovala, ale samy disponují certifikací ISO 27001, a mají tedy vypracovány interní směrnice na celou řadu postupů vyžadovaných novou regulací.

Chodí kovářova kobyla bosa?

Dnes pozornost otočíme o 180 stupňů, od regulovaných firem na regulátora. Jak je na tom s dodržováním pravidel Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který má transpozici směrnice NIS2 na starosti a na dodržování povinností z ní vyplývajících bude dohlížet? Půjde ostatním příkladem, nebo na závěr budeme na jeho adresu nuceni pronést něco o kovářově kobyle bez podkov?

Zajímalo nás přitom, co je vidět navenek. Neprováděli jsme žádné penetrační testování, nepokoušeli se nabourat do vnitřních systémů úřadu ani jsme nezjišťovali, jak odolné mají servery proti DDoS útokům. Toto přenecháváme jiným, resp. případné slabiny v těchto oblastech dřív nebo později někdo odhalí, či rovnou zneužije.





Zaobírali jsme se tím, jak NÚKIB dodržuje standardy a příklady dobré praxe na svých sitech, na jím používaných doménách, na tom, co je veřejně dostupné a je vidět. A na prověření stavu použili běžně používané online nástroje tak, aby si každý mohl námi získané výsledky ověřit.

Vlastní subdoménu má i nabídka volných míst

NÚKIB používá jako svou hlavní doménu nukib.gov.cz, na kterou se přesměrovává donedávna primární doména nukib.cz. Vedle toho spustil celou řadu subdomén pro specifická témata, například nis2.nukib.gov.cz je přesměrována na microsite na subdoméně osveta.nukib.cz, kam se úřad snaží přidávat vše k tématu směrnice NIS2. Ostatně z tohoto primárního zdroje náš seriál často čerpá.

Podobné přesměrování je nastavené i u dalších domén třetího řádu: eucertifikace.nukib.gov.cz, nkb.nukib.gov.cz, kariera.nukib.gov.cz, ncc.nukib.gov.cz. Všechny jsou zapsány jako alternativní názvy v certifikátu vydaném českou autoritou Alpiro.

V uznávaném testu SSL Labs si homepage NÚKIBu vysloužila známku A. Do bezvadného ratingu A+ jí chyběly body stržené podporou některých slabších šifrovacích algoritmů, např. TLS_RSA_WITH_CAMELLIA 128 _CBC_SHA. Nic jí nelze vytknout, ani co se týče podpory IPv6, ani zabezpečení doménových záznamů přes DNSSEC. Na druhou stranu, s přechodem pod jednotnou vládní doménu gov.cz není zabezpečení doménových záznamů zásluha jednotlivých úřadů, ale centralizovaně se o to stará Digitální a informační agentura.

Analýza serveru Mxtoolbox už ale ukazuje několik problémů i s DNS záznamy: nesouhlasí sériová čísla zón z různých nameserverů, ty jsou umístěny ve stejné síti (a tím i stejném autonomním systému), a hodnota refresh pro zónu, tedy údaj ovlivňující, jak často sekundární nameservery kontrolují, zda na primárním DNS nedošlo k aktualizaci zóny, je na dvojnásobku toho, co norma doporučuje (RFC 1912 považuje za souladné s dobrou praxí cokoliv mezi 20 minutami a 12 hodinami, i když připouští aktualizaci delší. Gov.cz má nastavenu tuto hodnotu na 24 hodin).





Trable Portálu NÚKIBu

Vážnější problémy však nastávají u Portálu NÚKIBu, který má být základním komunikačním nástrojem pro hlášení incidentů a pro komunikaci s úřadem vůbec. Původně „Neveřejný web“, jak se tato aplikace dříve jmenovala, provozovaný na doméně neweb.govcert.cz, NÚKIB v souladu s návrhem nového kyberzákona na konci roku 2023 přejmenoval na Portál NÚKIB a provozuje ho na adrese portal.nukib.gov.cz.

Pokud byste čekali, že se o hladké přestěhování této subdomény pod vládní gov.cz postará stejně pečlivě jako v případě tak „zásadních“ stránek, jako je třeba nabídka volných míst, budete zklamáni. Portál na staré adrese úřadu portal.nukib.cz nefunguje a žádné přesměrování nenabízí. Přitom při představení migrace státních webů na společnou vládní doménu gov.cz předkladatelé tohoto návrhu garantovali, že nejméně po dobu deseti let budou provozovány i původní, zažité adresy a budou přesměrovány na nové umístění. Tak přinejmenším pro Portál NÚKIBu toto ujištění neplatí.

Taktéž IPv6 tu budete hledat marně. Portál běží na jiné adrese než veřejný web NÚKIBu (185.48.23.26), a i když nepodporuje slabé šifrování a vysloužil si tím pádem rating A+, s šestkovými IP adresami si zkrátka nerozumí. Přitom pro státní správu je podpora IPv6 už několik let povinná a nejpozději v roce 2032 bude dokonce výlučná, když státní správa přestane své služby na IPv4 poskytovat.

Další pihou na kráse v provozu této komunikační aplikace je, že v tuto chvíli podporuje pouze přihlášení přes login nebo e-mail a heslo. Žádná Identita občana, MojeID nebo bankovní identita, žádná autorizace přes OAuth, žádné certifikáty. Uplatní se zde stará dobrá kombinace jména a hesla. V dalším kroku aplikace ale vyžaduje autentizaci přes druhý faktor.

NÚKIB sám uvádí, že dokud platí starý kybernetický zákon, provozuje portál jako „dobrovolnou platformu pro omezený počet regulovaných organizací“. Přístup k informacím, které web zprostředkovává, uděluje výhradně úřad na základě vlastního uvážení.

„Platforma není nároková a zároveň je zapojení pro povinné osoby zcela dobrovolné,“ upozorňuje NÚKIB s tím, že nemá cenu o zřízení přístupu vůbec žádat, protože tím, na kom závisí první krok, je právě brněnský úřad. „Organizace jsou do platformy zapojovány na základě stanoveného harmonogramu, přičemž o této skutečnosti jsou informovány prostřednictvím datové schránky,“ doplňuje NÚKIB.

To se s příchodem nového kyberzákona samozřejmě změní. Dobrovolné využívání tohoto nástroje se obrátí v povinnost, a to pro všech zhruba 6200 nových subjektů. Dá se čekat, že v té době už budou současné praktiky selektivní postupné registrace neudržitelné a že NÚKIB přijde s novými způsoby, jak se do Portálu přihlásit. Doufejme, že ke stejnému datu zmizí i všechny ostatní popsané potíže.